Am 17. Januar 2025 trat die DORA-Verordnung in Kraft, die sich unter anderem auf die Identitätsüberprüfungsprozesse im Finanzsektor auswirkt. DORA zielt darauf ab, die digitale Betriebsresilienz durch die Harmonisierung von Sicherheitsanforderungen und digitalem Risikomanagement zu erhöhen. In diesem Artikel werfen wir einen Blick darauf, welche Änderungen die DORA-Verordnung mit sich bringt, was sie ist und welche Auswirkungen sie für Finanzinstitute und ihre Kunden in Bezug auf die Identitätsüberprüfung hat.
In diesem Artikel erfahren Sie mehr:
- Die DORA-Verordnung: Was ist sie und wen betrifft sie?
- Die DORA-Verordnung und die Identitätsüberprüfung
- Zusammenfassung
- Die DORA-Verordnung: Was ist sie und für wen gilt sie?
Die DORA-Verordnung (Digital Operational Resilience Act) ist eine wichtige Rechtsvorschrift der Europäischen Union, die darauf abzielt, die digitale operative Widerstandsfähigkeit des Finanzsektors zu stärken. Die eingeführten Vorschriften sollen Finanzinstitute vor den wachsenden Cyber-Bedrohungen schützen, was in Zeiten immer raffinierterer Cyber-Angriffe besonders wichtig ist. Die Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates legt den Rechtsrahmen für das IKT-Risikomanagement, die Meldung von Vorfällen und Systemtests in Finanzinstituten fest.
Das Hauptziel der Verordnung ist die Verbesserung der operativen digitalen Resilienz, was in der Praxis bedeutet, dass Finanzinstitute ihre Systeme und Verfahren an die neuen Cybersicherheitsanforderungen anpassen müssen.
Wichtig ist, dass die Behörde, die für die Überprüfung der Einhaltung der DORA-Verordnung zuständig ist, die FSC (Financial Supervision Commission) ist. Wenn die Änderungen nicht umgesetzt werden, kann die Kommission Geldstrafen verhängen.
Die fünf Säulen der DORA-Verordnung
Die DORA-Verordnung stützt sich auf fünf Säulen, die für den Finanzsektor von grundlegender Bedeutung sind:
IKT-Risikomanagement: Die Finanzinstitute müssen geeignete IKT-Risikomanagementstrategien und -verfahren implementieren.
Meldung von Vorfällen: Die Verpflichtung, schwerwiegende Sicherheitsvorfälle regelmäßig den zuständigen Aufsichtsbehörden zu melden.
Tests der digitalen Widerstandsfähigkeit: regelmäßige Tests von Systemen und Verfahren, um ihre Widerstandsfähigkeit gegenüber Cyber-Bedrohungen zu bewerten.
Risikomanagement bei externen IKT-Dienstleistern: Verpflichtung zum Nachweis der Widerstandsfähigkeit von IKT-Dienstleistern und zur effektiven Verwaltung der Beziehungen zu ihnen.
Austausch von Informationen über Cyber-Bedrohungen: Finanzunternehmen sollten Informationen über Cyber-Bedrohungen austauschen.
Wer ist von der DORA-Verordnung betroffen?
Sie kennen bereits die Grundzüge der DORA-Verordnung und wissen, worum es sich dabei handelt. Jetzt ist es wichtig zu erwähnen, wer sie bei seinen Tätigkeiten berücksichtigen muss. Die DORA-Verordnung gilt für ein breites Spektrum von Finanzmarktteilnehmern in der Europäischen Union, darunter Kreditinstitute, Wertpapierfirmen, Zahlungsdienstleister, Versicherungsunternehmen sowie alle Einrichtungen, die Finanzmarktinfrastrukturen verwalten, wie Börsen oder Anbieter von Kryptoanlagen. Die Verordnung gilt auch für Anbieter wichtiger digitaler Dienstleistungen für den Finanzsektor, einschließlich Cloud-Anbieter und Cybersicherheitsunternehmen.
Es ist erwähnenswert, dass DORA von all diesen Institutionen verlangt, angemessene Risikomanagement- und Geschäftskontinuitätsverfahren zu implementieren, was für die finanzielle Stabilität innerhalb der Europäischen Union wichtig ist. Jedes dieser Institute muss über festgelegte Strategien, Richtlinien, Verfahren und Mechanismen verfügen, um Cyber-Risiken zu minimieren, die ihre operative Stabilität beeinträchtigen könnten.
Die DORA-Verordnung und die Identitätsüberprüfung
Die DORA-Verordnung zielt darauf ab, die Widerstandsfähigkeit von Finanzinstituten gegenüber Bedrohungen der Cybersicherheit zu stärken. Ein wichtiges Element zur Gewährleistung der Sicherheit ist die Identitätsüberprüfung. Warum ist dieser Bereich im Zusammenhang mit der DORA-Verordnung so wichtig?
Die Überprüfung der Identität der Nutzer ist entscheidend, um einen angemessenen Zugang zu kritischen Systemen und Daten zu gewährleisten. Was bedeutet dies in der Praxis? Finanzinstitute sollten Technologien einsetzen, die den Zugang zu kritischen Systemen, einschließlich Transaktionssystemen, nur für echte Nutzer und ordnungsgemäß verifizierte Personen ermöglichen. In diesem Zusammenhang unterstützt der Einsatz von starken Authentifizierungsmethoden und Datenverschlüsselung die Einhaltung der DORA-Anforderungen und reduziert das Risiko eines unbefugten Zugriffs.
Darüber hinaus schreibt die DORA-Verordnung vor, dass die Institute über angemessene Verfahren verfügen müssen, um auf Sicherheitsvorfälle zu reagieren. Im Falle einer Sicherheitsverletzung kann die Identitätsüberprüfung ein wichtiger Bestandteil sein, um den Zugang zu den Systemen wiederherzustellen und den normalen Betrieb wieder aufzunehmen. Sie stellt auch sicher, dass nur befugte Personen in der Lage sind, bestimmte Abhilfemaßnahmen zu ergreifen.
Um die DORA-Vorschriften zu erfüllen, müssen die Institute auch geeignete Verfahren und Technologien für das Cyber-Risikomanagement einführen. In diesem Fall kann die Identitätsüberprüfung Teil des Schutzes gegen Phishing- oder Brute-Force-Angriffe sein, die darauf abzielen, das Konto eines Benutzers zu übernehmen.
Die Identitätsüberprüfung kann Prozesse umfassen wie:
- mehrstufige Verifizierung (z. B. durch Multi-Faktor-Authentifizierung – MFA),
- Rechteverwaltung (Festlegung, wer Zugriff auf welche Ressourcen hat),
- Zugriffsüberwachung und Auditing (Aufzeichnung und Analyse von Anmeldeversuchen und Benutzeraktionen).
Zusammenfassung
In diesem Artikel haben wir die wichtigsten Informationen über die DORA-Verordnung vorgestellt. Wir haben erklärt, worum es sich dabei handelt und warum die Identitätsüberprüfung ein wichtiges Element im Zusammenhang mit dieser Verordnung sein kann.
Das Verständnis und die Umsetzung der DORA-Anforderungen sind wichtige Schritte für Finanzinstitute, die ihre Widerstandsfähigkeit gegenüber Cyberangriffen erhöhen und die Sicherheit ihrer Geschäfte und Kundendaten gewährleisten wollen. Möchten Sie mehr darüber erfahren? Nehmen Sie Kontakt mit uns auf! Unsere Spezialisten beantworten alle Ihre Fragen und helfen Ihnen bei der Auswahl des richtigen Identitätsüberprüfungssystems für Sie. Informieren Sie sich auch darüber, was eine elektronische Signatur ist.
